Ausgeschlossene Systeme oder Produkte
Folgende Produkte oder Systeme sind von dieser Policy ausdrücklich ausgeschlossen, sofern kein Zustimmung seitens des Besitzers vorliegt:
- Kundengeräte und -Software: Alle physischen Geräte und Maschinen sowie Software, die im Besitz eines Kunden sind. Dies umfasst, ist aber nicht beschränkt auf, Waagen, Etikettierer, Schneidemaschinen und andere Hardware -und Software-Produkte von Bizerba, die sich in der Kontrolle und im Besitz des Kunden befinden.
- Drittanbieter-Systeme: Systeme und Dienstleistungen, die von Dritten betrieben und nicht direkt von Bizerba kontrolliert werden.
Vorgehen
Bitte beachten Sie folgendes Vorgehen:
- Übermitteln Sie Ihre Erkenntnisse zu dem Sicherheitsproblem per E-Mail an security@bizerba.com . Bitte nutzen Sie unseren PGP-Schlüssel zur Verschlüsselung Ihrer Dokumentation, um die Sicherheit sensibler Informationen zu gewährleisten. Für eine optimierte Kommunikation bitten wir Sie, die untenstehende Formatvorlage zu verwenden.
- Nutzen Sie die Schwachstelle nicht aus, indem Sie Daten herunterladen, verändern, löschen oder Code hochladen.
- Geben Sie keine Informationen über die Schwachstelle an Dritte weiter, es sei denn, Bizerba hat dies genehmigt.
- Führen Sie keine Angriffe durch, die unsere IT-Systeme, Infrastruktur oder personenbezogene Daten kompromittieren, verändern oder manipulieren könnten.
- Vermeiden Sie Social-Engineering-Angriffe (z.B. Phishing), (Distributed) Denial-of-Service-Angriffe, Spam oder andere Angriffe dieser Art gegen Bizerba.
- Stellen Sie ausreichende Informationen bereit, um das Problem nachvollziehen und analysieren zu können, und bieten Sie eine Kontaktmöglichkeit für Rückfragen an.
Unser Versprechen
- Wir bemühen uns, die Schwachstelle so schnell wie möglich zu analysieren und ggf. zu schliessen.
- Sie erhalten eine Bestätigung über den Eingang Ihrer Meldung sowie eine Rückmeldung zu Ihrem Bericht.
- Wenn Sie gemäss dieser Sicherheitsrichtlinie handeln, werden die Strafverfolgungsbehörden im Zusammenhang mit Ihren Erkenntnissen nicht informiert. Dies gilt nicht, wenn erkennbar kriminelle oder nachrichtendienstliche Absichten verfolgt werden.
- Wir behandeln Ihren Bericht vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiter.
- Wir informieren Sie über die Validität und Behebung der Schwachstelle während des Bearbeitungszeitraums.
Qualifizierte Meldung von Schwachstellen
Jedes Design- oder Implementierungsproblem, das reproduzierbar ist und die Sicherheit beeinträchtigt, kann gemeldet werden. Beispiele hierfür sind:
- Rechteausweitung
- Kiosk-Modus-Ausbruch
- Unbefugter Zugriff auf Eigenschaften oder Konten
- Cross-Site Request Forgery (CSRF)
- Cross-Site Scripting (XSS)
- Insecure Direct Object Reference
- Remote Code Execution (RCE) – Injection Flaws
- Informationsleck und unsachgemässe Fehlerbehandlung
- Möglichkeit der Exfiltration von Daten/Informationen
- Aktiv ausnutzbare Hintertüren (Backdoors)
- Möglichkeit einer unautorisierten Systemnutzung
- Fehlkonfigurationen
- Daten-/Informationslecks
Nicht-qualifizierte Schwachstellen
Folgende Schwachstellen fallen nicht unter die Vulnerability-Disclosure-Policy von Bizerba und sollten nicht gemeldet werden:
- Angriffe, die physischen Zugriff auf das Gerät erfordern
- Formulare mit fehlenden CSRF-Token, sofern die Kritikalität das Common Vulnerability Scoring System (CVSS) Stufe 6 nicht übersteigt
- Denial-of-Service-Angriffe (DoS/DDoS)
- Fehlende Sicherheitsheader, die nicht direkt zu einer ausnutzbaren Schwachstelle führen
- Die Verwendung einer als anfällig bekannten Bibliothek ohne aktiven Nachweis der Ausnutzbarkeit
- Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation
- Social Engineering gegen Personen oder Einrichtungen von Bizerba und deren Auftragnehmer
- SPAM, Bots , Massenregistrierung
- Keine Einreichung von Best Practices
- Verwendung von anfälligen und „schwachen“ Cipher-Suites/Chiffren
Formatvorlage für eine Schwachstellenmeldung
- Titel/Bezeichnung der Schwachstelle
- Typus der Schwachstelle
- Kurzerklärung der Schwachstelle (ohne technische Details)
- Betroffenes Produkt/Dienst/IT-System
- Produkt
- Version/Modell (z.B. über Gerätepass) - Technische Details und Beschreibung der Schwachstelle
- Proof of Concept
- Ggf. aufzeigen einer Lösungsmöglichkeit